Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
GuardDuty Detección de amenazas extendida
GuardDuty La detección extendida de amenazas detecta automáticamente los ataques en varias etapas que abarcan fuentes de datos, varios tipos de AWS recursos y tiempo, en un Cuenta de AWS instante. Con esta capacidad, GuardDuty se centra en la secuencia de varios eventos que observa mediante la supervisión de diferentes tipos de fuentes de datos. La detección extendida de amenazas correlaciona estos eventos para identificar los escenarios que se presentan como una amenaza potencial para su AWS entorno y, a continuación, genera una búsqueda de la secuencia de ataque.
Temas
Ejemplos de escenarios de amenazas en la secuencia de ataque
La detección extendida de amenazas cubre los escenarios de amenazas que implican compromisos relacionados con el uso indebido de AWS credenciales, intentos de comprometer datos en buckets de Amazon S3 y comprometer recursos de contenedores y Kubernetes en clústeres de Amazon EKS. Un único resultado puede abarcar una secuencia de ataque completa. Por ejemplo, en la siguiente lista se describen los escenarios que pueden detectarse: GuardDuty
- Ejemplo 1: AWS las credenciales y los datos del bucket de Amazon S3 están comprometidos
-
-
Un actor de amenazas que obtiene acceso no autorizado a una carga de trabajo informática.
-
Luego, el actor realiza una serie de acciones, como aumentar los privilegios y establecer la persistencia.
-
Por último, el actor que extrae datos de un recurso de Amazon S3.
-
- Ejemplo 2: Compromiso con el clúster de Amazon EKS
-
-
Un actor de amenazas intenta explotar una aplicación contenedora dentro de un clúster de Amazon EKS.
-
El actor usa ese contenedor comprometido para obtener tokens de cuentas de servicio privilegiadas.
-
Luego, el actor aprovecha estos privilegios elevados para acceder a secretos de Kubernetes o recursos de AWS confidenciales a través de las identidades de los pods.
-
Debido a la naturaleza de los escenarios de amenaza asociados, los GuardDuty considera todos Tipos de resultados de secuencias de ataque como críticos.
En el siguiente vídeo se muestra cómo utilizar la Detección Extendida de Amenazas.
Funcionamiento
Cuando habilitas Amazon GuardDuty en tu cuenta en una cuenta específica Región de AWS, la detección extendida de amenazas también está habilitada de forma predeterminada. El uso de Detección Extendida de Amenazas no conlleva ningún costo adicional. De forma predeterminada, correlaciona los eventos en todos los Orígenes de datos fundamentales. Sin embargo, si habilita más planes de GuardDuty protección, como S3 Protection, EKS Protection y Runtime Monitoring, se abrirán nuevos tipos de detecciones de secuencias de ataques al ampliar la gama de fuentes de eventos. Esto podría ayudar a realizar un análisis de amenazas más exhaustivo y a detectar mejor las secuencias de ataque. Para obtener más información, consulte Habilitar planes de protección para maximizar la detección de amenazas.
GuardDuty correlaciona varios eventos, incluidas las actividades y los hallazgos de la API. GuardDuty Estos eventos se denominan señales. A veces, es posible que se produzcan eventos en su entorno que, por sí solos, no se presenten como una amenaza potencial clara. GuardDuty los califica de señales débiles. Con la detección ampliada de amenazas, GuardDuty identifica cuándo una secuencia de varias acciones se corresponde con una actividad potencialmente sospechosa y genera una secuencia de ataque detectada en tu cuenta. Estas múltiples acciones pueden incluir señales débiles y GuardDuty hallazgos ya identificados en tu cuenta.
nota
Al correlacionar los eventos con las secuencias de ataque, la Detección Extendida de Amenazas no tiene en cuenta las conclusiones archivadas, incluidas las que se archivan automáticamente debido a Reglas de supresión. Este comportamiento garantiza que solo las señales activas y relevantes contribuyan a la detección de la secuencia de ataque. Para asegurarse de que esto no lo afecte, consulte las normas de supresión vigentes en su cuenta. Para obtener más información, consulte Uso de reglas de supresión con Detección Extendida de Amenazas.
GuardDuty también está diseñado para identificar posibles comportamientos de ataque recientes o en curso (en un plazo de 24 horas) en tu cuenta. Por ejemplo, un ataque podría comenzar cuando un actor accede involuntariamente a una carga de trabajo de cómputo. Luego, el actor realizaría una serie de pasos, que incluían la enumeración, la escalada de privilegios y la exfiltración de credenciales. AWS Estas credenciales podrían utilizarse para comprometer aún más los datos o acceder de forma malintencionada a ellos.
Habilitar planes de protección para maximizar la detección de amenazas
La detección ampliada de amenazas se activa automáticamente en todas las GuardDuty cuentas y evalúa de forma predeterminada las señales de todos los planes de protección habilitados en la cuenta. GuardDuty Las fuentes de datos fundamentales proporcionan señales importantes para detectar varias secuencias de ataques. Por ejemplo, con la detección de amenazas básica, GuardDuty puede identificar una secuencia de ataque potencial a partir de la actividad de descubrimiento de privilegios de IAM en Amazon S3 APIs y detectar alteraciones posteriores en el plano de control de S3, como los cambios que hacen que la política de recursos de bucket sea más permisiva. Sin embargo, otras secuencias de ataque requieren señales avanzadas que solo están disponibles en planes de protección avanzados, como el monitoreo del tiempo de ejecución, la protección contra S3 y el monitoreo de registros de auditoría de EKS.
Temas
Detección de secuencias de ataque en clústeres de Amazon EKS
GuardDuty correlacionó varias señales de seguridad en los registros de auditoría de EKS, el comportamiento de los procesos en tiempo de ejecución y la actividad de las AWS API para detectar patrones de ataque sofisticados. Para beneficiarse de la Detección Extendida de Amenazas para EKS, debe habilitar al menos una de estas funciones: EKS Protection o el monitoreo del tiempo de ejecución (con el complemento EKS). EKS Protection supervisa las actividades del plano de control mediante registros de auditoría, mientras que Runtime Monitoring observa los comportamientos dentro de los contenedores.
Para obtener la máxima cobertura y una detección integral de amenazas, GuardDuty recomienda habilitar ambos planes de protección. Juntos, crean una vista completa de sus clústeres de EKS, lo que GuardDuty permite detectar patrones de ataque complejos. Por ejemplo, puede identificar un despliegue anómalo de un contenedor privilegiado (detectado con EKS Protection), seguido de intentos de persistencia, minería de criptomonedas y creación de shell inversos dentro de ese contenedor (detectados con Runtime Monitoring). GuardDuty representa estos eventos relacionados como un único hallazgo de gravedad crítica, denominado. AttackSequence:EKS/CompromisedCluster Al activar ambos planes de protección, los resultados de la secuencia de ataque abarca los siguientes escenarios de amenaza:
-
Compromiso de los contenedores que ejecutan aplicaciones web vulnerables
-
Acceso no autorizado mediante credenciales mal configuradas
-
Intentos de escalar los privilegios
-
Solicitudes de la API sospechosas
-
Intentos para acceder a los datos de forma malintencionada
La siguiente lista proporciona detalles sobre cuándo se activan estos planes de protección dedicados de forma individual:
- EKS Protection
-
La activación de EKS Protection permite GuardDuty detectar secuencias de ataques que involucran actividades en el plano de control del clúster de Amazon EKS. Esto permite correlacionar GuardDuty los registros de auditoría de EKS y la actividad de la AWS API. Por ejemplo, GuardDuty puede detectar una secuencia de ataque en la que un actor intenta acceder sin autorización a los secretos del clúster, modifica los permisos del control de acceso basado en roles (RBAC) de Kubernetes y crea grupos privilegiados. Para obtener información sobre cómo habilitar este plan de protección, consulte EKS Protection.
- Runtime Monitoring de Amazon EKS
-
La activación de Runtime Monitoring para los clústeres de Amazon EKS permite GuardDuty mejorar la detección de secuencias de ataques de EKS con visibilidad a nivel de contenedor. Esto ayuda a GuardDuty detectar posibles procesos maliciosos, comportamientos sospechosos en tiempo de ejecución y posibles ejecuciones de malware. Por ejemplo, GuardDuty puede detectar una secuencia de ataque en la que un contenedor comienza a mostrar un comportamiento sospechoso, como procesos de minería criptográfica o establecimiento de conexiones con puntos finales maliciosos conocidos. Para obtener información sobre cómo habilitar este plan de protección, consulte Supervisión en tiempo de ejecución.
Si no habilitas la protección de EKS o la supervisión del tiempo de ejecución, no GuardDuty podrás generar anuncios individuales. Tipos de resultados de la protección de EKS Tipos de resultados de la supervisión en tiempo de ejecución Por lo tanto, no GuardDuty podrá detectar secuencias de ataques en varias etapas que impliquen hallazgos asociados.
Detección de secuencias de ataques en los buckets de Amazon S3
Al habilitar S3 Protection GuardDuty , podrá detectar secuencias de ataques que impliquen intentos de comprometer datos en sus buckets de Amazon S3. Sin S3 Protection, GuardDuty puede detectar cuándo su política de recursos de bucket de S3 se vuelve demasiado permisiva. Al activar S3 Protection, GuardDuty obtiene la capacidad de detectar posibles actividades de exfiltración de datos que puedan producirse después de que su depósito de S3 se vuelva demasiado permisivo.
Si S3 Protection no está habilitada, no GuardDuty podrá generar datos individuales. Tipos de resultados de la S3 Protection Por lo tanto, no GuardDuty podrá detectar secuencias de ataques en varias etapas que impliquen hallazgos asociados. Para obtener información sobre cómo habilitar este plan de protección, consulte S3 Protection.
Detección de secuencias de ataques en clústeres de Amazon ECS
GuardDuty puede identificar secuencias de ataque, como procesos maliciosos, conexiones a puntos finales maliciosos o comportamientos de minería de criptomonedas dentro de los contenedores de ECS. Al correlacionar diversas señales entre la actividad de la red, el comportamiento de los procesos en tiempo de ejecución y la actividad de las AWS API, GuardDuty puede identificar patrones de ataque complejos que podrían pasar desapercibidos en las detecciones individuales y mapear el vector de ataque completo.
GuardDuty representa estos eventos relacionados como un único hallazgo de gravedad crítica, denominado. AttackSequence:ECS/CompromisedCluster La búsqueda de la secuencia de ataque abarca los siguientes escenarios de amenaza:
-
Compromiso de los contenedores que ejecutan servicios vulnerables
-
Ejecución no autorizada de herramientas, malware o procesos de minería de criptomonedas sospechosos
-
Intentos de escalar los privilegios
-
Comunicación con puntos finales sospechosos
importante
La detección extendida de amenazas para ECS requiere la supervisión del tiempo de ejecución para Fargate o EC2, según el tipo de infraestructura de ECS. La supervisión del tiempo de ejecución observa los comportamientos de los contenedores de ECS que se ejecutan tanto en Fargate como en las EC2 instancias. No se admite el ECS en EC2 las instancias administradas.
Detección de secuencias de ataques en grupos de EC2 instancias de Amazon
GuardDuty puede identificar las secuencias de ataques que afectan a instancias individuales o grupos de instancias que comparten atributos comunes, como grupos de Auto Scaling, perfiles de instancias de IAM, plantillas de lanzamiento AMIs, CloudFormation pilas o VPC. IDs Estas instancias pueden mostrar comportamientos sospechosos, como procesos maliciosos, conexiones a puntos finales malintencionados, minería de criptomonedas o uso anormal de las credenciales de las instancias. EC2
La búsqueda de la secuencia de ataque detecta los siguientes escenarios de amenaza:
-
Compromiso de las instancias que ejecutan servicios vulnerables
-
Uso de credenciales de EC2 instancia de Amazon obtenidas mediante IMDS desde fuera de la AWS cuenta a la que se emitieron las credenciales
-
Utilícelas como infraestructura para ataques como el proxy, el escaneo o la denegación de servicio
-
Ejecución no autorizada de herramientas, malware o procesos de minería de criptomonedas sospechosos
-
Comunicación con puntos finales sospechosos
La detección extendida de amenazas ayuda a identificar estas amenazas. GuardDuty representa estos eventos relacionados como un único hallazgo de gravedad crítica, denominado. AttackSequence:EC2/CompromisedInstanceGroup
Para mejorar la detección extendida de amenazas para EC2 las capacidades de detección, habilite la monitorización del tiempo de ejecución. La combinación de la supervisión básica GuardDuty, que supervisa la actividad de la red, CloudTrail y la supervisión del tiempo de ejecución, que observa el comportamiento de los procesos y las llamadas al sistema en las instancias, proporciona una detección de amenazas más completa. Esta supervisión integrada permite GuardDuty detectar secuencias de ataques sofisticadas, como el acceso no autorizado mediante credenciales mal configuradas, los intentos de escalada de privilegios y el acceso no autorizado a datos confidenciales. Al correlacionar estas diversas señales, GuardDuty puede identificar patrones de ataque complejos que podrían pasar desapercibidos en las detecciones individuales y mapear el vector de ataque completo.
Detección de amenazas ampliada en la consola GuardDuty
De forma predeterminada, la página de detección extendida de amenazas de la GuardDuty consola muestra el estado activado. Con la detección de amenazas básica, el estado representa que GuardDuty puede detectar una posible secuencia de ataque que implique una actividad de descubrimiento de privilegios de IAM en Amazon S3 APIs y detectar alteraciones posteriores en el plano de control de S3.
Siga los siguientes pasos para acceder a la página de detección ampliada de amenazas de la consola: GuardDuty
-
Puede abrir la GuardDuty consola en https://console.aws.amazon.com/guardduty/
. -
En el panel de navegación izquierdo, elija Detección Extendida de Amenazas.
Esta página proporciona detalles sobre los escenarios de amenazas que cubre la Detección Extendida de Amenazas.
-
En la página Detección Extendida de Amenazas, consulte la sección Planes de protección relacionados. Si desea habilitar planes de protección dedicados para mejorar la cobertura de detección de amenazas en su cuenta, seleccione la opción Configurar para ese plan de protección.
Descripción y administración de resultados de secuencias de ataques
Los hallazgos de la secuencia de ataque son como cualquier otro GuardDuty hallazgo en su cuenta. Puede verlos en la página de resultados de la GuardDuty consola. Para obtener información sobre cómo ver los resultados, consulte Página de hallazgos en la GuardDuty consola.
Al igual que otros GuardDuty hallazgos, los hallazgos de la secuencia de ataque también se envían automáticamente a Amazon EventBridge. Según su configuración, los resultados de la secuencia de ataques también se exportan a un destino de publicación (bucket de Amazon S3). Para establecer un nuevo destino de publicación o actualizar uno existente, consulte .Exportar los resultados generados a Amazon S3
Recursos adicionales
Consulte las siguientes secciones para comprender mejor las secuencias de ataque:
-
Tras obtener más información sobre la Detección Extendida de Amenazas y las secuencias de ataque, puede generar ejemplos de tipos de resultados de secuencias de ataque siguiendo los pasos que se indican en Ejemplos de hallazgos.
Información sobre Tipos de resultados de secuencias de ataque.
-
Revise los resultados y explore los detalles de los resultados asociados con Detalles de los resultados de la secuencia de ataque.
-
Priorice y aborde los tipos de resultados de secuencias de ataques siguiendo los pasos correspondientes a los recursos afectados asociados en Corrección de resultados.
